Platform
nodejs
Component
directus
Opgelost in
11.2.1
CVE-2025-24353 beschrijft een Privilege Escalation kwetsbaarheid in Directus, een real-time API en App dashboard voor het beheren van SQL database content. Deze kwetsbaarheid stelt een gebruiker in staat om, bij het delen van een item, een rol met hogere privileges te specificeren, waardoor toegang tot velden mogelijk wordt die anders niet toegankelijk zouden zijn. De kwetsbaarheid treedt op in versies van Directus tot en met 11.2.0. Een patch is beschikbaar in versie 11.2.0.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige data binnen de Directus database. Een gebruiker met beperkte rechten kan door het specificeren van een hogere rol velden bekijken die normaal gesproken verborgen zouden zijn voor die rol. Dit kan leiden tot datalekken, manipulatie van data en mogelijk compromittering van de gehele Directus installatie. De impact is groter in omgevingen waar de rolhiërarchie complex is en velden specifiek zijn verborgen voor bepaalde gebruikersgroepen. Het is vergelijkbaar met scenario's waarbij een gebruiker toegang krijgt tot informatie die bedoeld is voor beheerders.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-01-23. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kwetsbaarheid is potentieel uitbuitbaar. De KEV status is momenteel onbekend. Er zijn geen actieve campagnes bekend die deze kwetsbaarheid uitbuiten, maar het is raadzaam om de situatie te blijven monitoren.
Organizations using Directus for content management, particularly those with complex role-based access control configurations and who utilize the item sharing feature, are at risk. Shared hosting environments where multiple users share a Directus instance are also potentially vulnerable.
• nodejs: Monitor Directus logs for suspicious activity related to item sharing and role assignments. Look for requests containing unexpected or elevated roles.
grep -i 'role assignment|sharing request' /var/log/directus/directus.log• generic web: Check Directus API endpoints for unauthorized access attempts. Use curl to test sharing functionality with different user roles.
curl -X POST -H "Content-Type: application/json" -d '{"role":"admin"}' <directus_api_url>/items/<item_id>/sharedisclosure
Exploit Status
EPSS
0.35% (57% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Directus naar versie 11.2.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers die de 'share' functionaliteit gebruiken. Controleer de rolhiërarchie en zorg ervoor dat velden correct zijn verborgen voor gebruikers met lagere privileges. Er zijn geen specifieke WAF-regels of detectie signatures bekend, maar het monitoren van Directus logs op ongebruikelijke rol-specifieke toegangspatronen kan helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, controleer de rolconfiguraties en veldvisibiliteit om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice Directus a la versión 11.2.0 o superior. Esta versión contiene una corrección para la vulnerabilidad de escalada de privilegios. La actualización evitará que usuarios no autorizados accedan a campos que no deberían ver a través de la función de compartir.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24353 is a vulnerability in Directus versions ≤ 11.2.0 that allows users to potentially access restricted data fields by manipulating role assignments during item sharing.
You are affected if you are using Directus version 11.2.0 or earlier and utilize the item sharing feature with specific role hierarchies.
Upgrade Directus to version 11.2.0 or later to patch the vulnerability. If immediate upgrading is not possible, restrict the use of the item sharing feature.
There is currently no indication of active exploitation in the wild or publicly available proof-of-concept exploits.
Refer to the official Directus security advisory for detailed information and updates: [https://directus.io/security/](https://directus.io/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.